Lompat ke konten Lompat ke sidebar Lompat ke footer
Beranda / Indeks / Tekno

Gawat Malware ini Bisa Menginfeksi Motherboard Anda dan Hampir Tidak Bisa Dihapus

Oleh Heri MS
Dilansir dari Digitaltrends.com, para peneliti telah menemukan malware yang diam-diam menginfeksi sistem yang menampilkan motherboard Asus dan Gigabyte setidaknya selama enam tahun.

Sejak 2016, peretas berbahasa Cina telah menyusup ke mesin dengan malware CosmicStrand, menurut laporan dari Bleeping Computer.

Khususnya, setelah kode berbahaya didistribusikan, sebagian besar tetap tidak terdeteksi dalam gambar firmware untuk motherboard tertentu. Metode khusus penargetan gambar firmware ini diklasifikasikan sebagai rootkit Unified Extensible Firmware Interface (UEFI).

Strain itu dinamai CosmicStrand oleh para peneliti yang bekerja untuk perusahaan keamanan siber Kaspersky. Namun, versi malware sebelumnya - dijuluki Spy Shadow Trojan - awalnya ditemukan oleh analis di Qihoo360.

Sebagai referensi, UEFI adalah aplikasi penting yang menghubungkan sistem operasi dengan firmware perangkat keras itu sendiri. Dengan demikian, kode UEFI adalah yang berjalan saat komputer pertama kali dinyalakan, bahkan sebelum tindakan keamanan apa pun dari sistem.

Akibatnya, malware yang telah ditempatkan di gambar firmware UEFI sangat efektif dalam menghindari tindakan deteksi. Lebih mengkhawatirkan, bagaimanapun, adalah kenyataan bahwa malware secara teknis tidak dapat dihapus dengan mengoperasikan instalasi ulang bersih dari sistem operasi. Anda bahkan tidak dapat menghapusnya dengan mengganti drive penyimpanan.

“Driver ini dimodifikasi untuk mencegat urutan boot dan memasukkan logika jahat ke dalamnya,” kata Mark Lechtik, yang sebelumnya bekerja sebagai reverse engineer Kaspersky.

Kaspersky mengatakan menemukan bahwa rootkit CosmicStrand UEFI ditemukan dalam gambar firmware motherboard Gigabyte atau Asus yang menggunakan chipset H81, yang dikaitkan dengan perangkat keras yang dijual antara 2013 hingga 2015.

Korban CosmicStrand adalah individu pribadi yang berlokasi di Cina, Iran, Vietnam, dan Rusia, dan dengan demikian hubungan dengan negara bangsa, organisasi, atau industri tidak dapat dibuat. Yang mengatakan, para peneliti mengkonfirmasi tautan CosmicStrand ke aktor ancaman berbahasa Cina karena pola kode yang muncul di botnet cryptomining terpisah.

Kaspersky menekankan bahwa rootkit firmware CosmicStrand UEFI dapat kurang lebih tetap berada di sistem yang terinfeksi selamanya.

Malware UEFI pertama kali dilaporkan pada tahun 2018 oleh perusahaan keamanan online lainnya, ESET. Dikenal sebagai LoJax, digunakan oleh peretas Rusia yang termasuk dalam grup APT28. Sejak itu, jumlah rootkit berbasis UEFI yang menginfeksi sistem terus meningkat, termasuk ESPecter — kit yang dikatakan telah digunakan untuk tujuan spionase sejak 2012.

Di tempat lain, analis keamanan mengatakan telah mendeteksi firmware UEFI "paling canggih" awal tahun ini dalam bentuk MoonBounce.

Ini merupakan tahun yang sibuk bagi kelompok dan peretas yang terlibat dalam komunitas malware. Baru-baru ini, pelaku ancaman telah berhasil menggunakan Microsoft Calculator untuk mendistribusikan kode berbahaya , sementara Microsoft sendiri meluncurkan inisiatif baru di mana ia menawarkan akses bisnis ke layanan keamanan internalnya.

Sumber : Digitaltrends.com